Découvrez comment gérer vos clés à l’aide des clés gérées par le client.
L’utilisation des clés gérées par le client d’Auth0 vous permet de configurer le cycle de vie de votre clé maîtresse du locataire et de fournir votre propre clé racine fournie par le client pour remplacer la clé racine de l’environnement de votre locataire Auth0.Les clés gérées par le client offrent deux façons de gérer vos clés :
Contrôlez votre propre clé : permet aux utilisateurs ayant le rôle Key Management Editor de personnaliser le cycle de vie de la clé maîtresse du locataire dans Auth0 KMS.
Apportez votre propre clé : permet aux utilisateurs ayant le rôle Key Management Editor de remplacer la clé racine de l’environnement d’Auth0 et d’importer leur propre clé de chiffrement encapsulée dans le module de sécurité matériel (HSM) Auth0 Cloud correspondant.
La fonctionnalité Clés gérées par le client est accessible aux utilisateurs ayant le rôle Key Management Editor. Ce rôle n’est pas attribué aux utilisateurs par défaut et doit être attribué explicitement à un membre du locataire. Pour en savoir plus, consultez Ajouter des membres au locataire.
Utilisez les autorisations suivantes pour accorder l’accès aux points de terminaison Rekey :
Autorisations
Description
create:encryption_keysupdate:encryption_keys
Les utilisateurs peuvent effectuer la rotation et le rechiffrement de la hiérarchie de clés d’un locataire Auth0 à l’aide du point de terminaison Rekey de la Management API.
Utilisez le point de terminaison Rekey de la Management API pour faire la rotation de la clé maîtresse du locataire, puis faire la rotation et rechiffrer les clés d’espace de noms.
Faire la rotation de la clé maîtresse du locataire : désactive la clé maîtresse du locataire actuellement active et en crée une nouvelle.
Faire la rotation de toutes les clés d’espace de noms du locataire : désactive les clés actuellement actives et active de nouvelles clés.
Les nouvelles clés d’espace de noms sont utilisées pour les nouvelles opérations de chiffrement.
Les clés d’espace de noms désactivées sont utilisées pour déchiffrer les données chiffrées précédemment.
Rechiffre toutes les clés d’espace de noms existantes avec la nouvelle clé maîtresse du locataire.
Le point de terminaison est accessible uniquement aux membres du locataire qui disposent de scopes d’autorisation précis dans Auth0. Par défaut, ces scopes sont accordés aux utilisateurs ayant le rôle Key Management Editor.
En important votre propre clé racine fournie par le client avec Bring Your Own Key, vous révoquez implicitement l’autorisation d’Auth0 de gérer le cycle de vie de la clé racine fournie par le client, à l’exception de sa suppression.
Bring Your Own Key permet aux utilisateurs ayant le rôle Key Management Editor d’importer de façon sécurisée une clé de chiffrement encapsulée (clé racine fournie par le client) dans un module de sécurité matériel (HSM) FIPS 140-2 L3 du cloud Auth0 correspondant.Avec Bring Your Own Key, vous pouvez :
Remplacer la clé racine de l’environnement par défaut générée par Auth0 par une nouvelle clé racine fournie par le client.
Effectuer la rotation et rechiffrer la hiérarchie de clés avec la clé racine fournie par le client. Par exemple : créer et rechiffrer une nouvelle clé maîtresse du locataire et une nouvelle clé d’espace de noms.
Surveiller les événements de journalisation de clés gérées par le client
Auth0 effectue automatiquement la rotation des clés de chiffrement du locataire une fois par année, en ajoutant les événements de journalisation suivants aux journaux de votre locataire :
kms_key_state_changed
kms_key_management_success
Les opérations de clés gérées par le client ajoutent les événements de journalisation suivants à vos journaux du locataire :Un code d’événement sapi indiquant :
Créer une nouvelle clé de chiffrement
Créer la clé publique d’enveloppement
Importer la clé de chiffrement
Supprimer la clé de chiffrement à l’aide de son id de clé
Régénérer la hiérarchie des clés
Un code d’événement kms_key_management_success indiquant qu’une opération KMS a réussi.Un code d’événement kms_key_management_failure indiquant qu’une opération KMS a échoué.Un code d’événement kms_key_state_changed indiquant un changement d’état d’une clé KMS.
À la couche applicative, Auth0 protège les secrets et les données des clients au moyen du chiffrement par enveloppe.La hiérarchie de chiffrement par enveloppe d’Auth0 comprend les clés suivantes, chacune étant chiffrée à l’aide de la clé du niveau supérieur. Le tableau ci-dessous résume cette hiérarchie des clés :
Clé
Algorithme
Stockage
Clé racine d’environnement
RSA 2048 OAEP (Auth0 sur Azure) AES-256-GCM (Auth0 sur AWS)
La clé racine de l’environnement représente le sommet de la hiérarchie et encapsule la clé maîtresse du locataire afin d’empêcher sa divulgation ou sa modification à l’extérieur d’Auth0.Une clé racine de l’environnement Auth0 distincte est générée pour chaque environnement Auth0 et stockée dans un HSM adjacent. Les HSM sont déployés dans une configuration hautement disponible répartie sur plusieurs zones géographiques. Cela signifie qu’en cas d’incident grave touchant toute une région, les HSM basculeront vers une autre région.La clé racine de l’environnement Auth0 est commune à tous les locataires. Les clients peuvent utiliser la fonctionnalité Bring Your Own Key pour disposer d’une clé racine de l’environnement dédiée à leur locataire.Auth0 utilise les algorithmes suivants pour encapsuler la clé maîtresse du locataire avec la clé racine de l’environnement, selon le fournisseur de services infonuagiques Auth0 que vous utilisez :
Auth0 sur Azure : RSA 2048 OAEP
Auth0 sur AWS : AES 256 GCM
À l’aide de l’Auth0 Dashboard ou de la Management API, les administrateurs du locataire peuvent remplacer la clé racine de l’environnement Auth0 par leur propre clé racine fournie par le client.
Chaque locataire possède une clé maîtresse de locataire chiffrée, stockée dans le service de gestion des clés d’Auth0, qui sert à chiffrer les clés d’espace de noms.L’algorithme utilisé pour chiffrer la clé maîtresse du locataire est AES256 GCM.
Lorsqu’un administrateur de locataire, à l’aide de l’Auth0 Dashboard ou de la Management API, a fourni sa propre clé racine fournie par le client, une nouvelle clé maîtresse du locataire est créée.
Les clés d’espace de noms isolent les clés de chiffrement utilisées à différentes fins au sein du locataire. Le nombre de clés d’espace de noms et leur utilisation sont configurés en interne par Auth0 et ne peuvent pas être personnalisés.Le chiffrement et le déchiffrement des clés d’espace de noms nécessitent l’accès à la clé maîtresse du locataire. Les clés d’espace de noms ne quittent jamais le service de gestion des clés d’Auth0 et ne sont accessibles ni aux développeurs ni aux administrateurs.Les clés d’espace de noms se trouvent dans le service de gestion des clés d’Auth0 et sont chiffrées avec l’algorithme AES256 GCM.
Le service de gestion des clés d’Auth0 génère de manière sécurisée différentes clés de chiffrement des données pour les demandes ultérieures de chiffrement des données. Le service de gestion des clés d’Auth0 optimise la sécurité et les performances en émettant régulièrement de nouvelles clés de chiffrement des données.Le chiffrement et le déchiffrement des clés de chiffrement des données nécessitent l’accès à la clé d’espace de noms qui leur est attribuée. Les clés de chiffrement des données ne peuvent pas être déchiffrées à l’extérieur du service de gestion des clés d’Auth0 ni par les éditeurs de gestion des clés.Les clés de chiffrement des données se trouvent à côté des données et sont chiffrées au moyen de l’algorithme AES256 GCM.
Authentification
Gérer les utilisateurs
Personnaliser
Auth0 AI
Plateforme